RSAC 2019: la manipulación del DNS

En la conferencia RSA 2019, el Instituto SANS informó sobre nuevas variedades de ataque que consideraban altamente peligrosas. En esta publicación hablaremos sobre una de ellas.

Ed Skoudis, instructor del Instituto SANS, llamó la atención sobre un ataque que puede utilizarse para tomar el control total de la infraestructura informática de una compañía sin necesidad de herramientas demasiado complejas, tan solo con una simple manipulación del DNS.

Manipulación de la infraestructura del DNS empresarial

Así funciona el ataque:

1. Los cibercriminales recopilan (por todos los medios) contraseña y nombre de usuario de cuentas comprometidas, de las cuales actualmente hay cientos de millones, si no miles de millones, en bases de datos conocidas.
2. Utilizan estas credenciales para iniciar sesión en servicios de proveedores de DNS y de registradores de dominio.
3. Después, los intrusos modifican los registros del DNS, sustituyendo la infraestructura del dominio corporativo por las suyas propias.
4. En concreto, modifican el registro MX e interceptan los mensajes redirigiendo todos los correos electrónicos corporativos a su propio servidor de correo.
5. Los ciberdelincuentes registran certificados TLS para los dominios robados. Entonces, ya pueden interceptar el correo corporativo y proporcionar una prueba de la propiedad del dominio, que en la mayoría de los casos es todo lo que se necesita para emitir un certificado.

Después, los atacantes pueden redireccionar el tráfico que se dirige a los servicios de la compañía a sus propias máquinas. Como resultado, los visitantes de la página web de la empresa acceden a sitios falsos que parecen auténticos para todos los filtros y sistemas de protección. Ya nos enfrentamos por primera vez a esta situación en el 2016, cuando los investigadores de nuestro equipo GReAT en Brasil destaparon un ataque que permitió a los intrusos secuestrar la infraestructura de un banco importante.

Lo realmente peligroso de este ataque es que la víctima pierde el contacto con el mundo exterior. Secuestran el correo electrónico y, normalmente, también los teléfonos (la gran mayoría de las empresas utilizan telefonía IP). Todo esto complica tanto la respuesta al incidente como la comunicación con las organizaciones externas: proveedores de DNS, autoridades de certificación, fuerzas del orden y demás. ¿Te imaginas que todo esto tenga lugar en una semana? ¡Pues ese es el caso de este banco brasileño!

Cómo evitar el secuestro de tu infraestructura informática manipulando el DNS

 Lo que en el 2016 no era más que una innovación en el mundo del cibercrimen, se convirtió en un par de años en una práctica común. De hecho, en el 2018, muchas empresas líderes en seguridad de TI registraron su uso. Así que no es una falsa amenaza, sino un ataque muy específico que podría utilizarse para apoderarse de tu infraestructura informática.

He aquí unas sugerencias de Ed Skoudis para protegerte contra la manipulación de los nombres de dominio de tu infraestructura:

• Utiliza la autenticación de varios factores en las herramientas de gestión de tu infraestructura informática.
• Utiliza DNSSEC, asegurándote de que no solo aplicas la firma DNS, sino también la validación.
• Supervisa todos los cambios en el DNS que puedan afectar a los nombres de dominio de tu empresa, por ejemplo, puedes utilizar SecurityTrails, que admite hasta 50 solicitudes al mes de forma gratuita.
• Supervisa los certificados antiguos que dupliquen tus dominios y solicita su anulación de inmediato. Para más información, no te pierdas esta publicación: Ataques MitM y DoS en dominios mediante certificados antiguos.

Por nuestra parte, aconsejamos utilizar contraseñas seguras. Deberían de ser lo suficientemente únicas y complejas como para resistir un ataque diccionario. Para generar contraseñas y almacenarlas de forma segura, puedes utilizar Kaspersky Password Manager, parte de nuestra solución Kaspersky Small Office Security.